Удачные стратегии  -  сетевая и Internet  -  начинаются с составления корпоративной сметы  и жесткой политики безопасности


          Джефф Роузер всегда осторожно выбирает слова. И все же, когда он утверждает: “Безопасность сети очень важна”,  -  это звучит как очень сильное преуменьшение. Подобно тысячам менеджеров сетей, Роузер прекрасно знает, что в век Internet безопасность сети действительно имеет огромное значение.


          “Internet заставляет нас сильнее бояться потенциальных опасностей,”  -  считает Роузер, менеджер отдела информационных систем и технологий фирмы Bechtel Systems and Infrastructure (Сан-Франциско), которая занимается обслуживанием и набором кадров для нескольких вычислительных центров департамента США по энергетике, а также для правительственных региональных узлов корпорации Bechtel.


          Подключение организации к Internet связано с чудовищной угрозой безопасности. Но это пустяки в сравнении с опасностью, таящейся внутри: по данным ассоциации National Computer Security, восемь из десяти взломов производятся изнутри организации.


          Как понял Роузер, решить проблему можно с помощью интеграции систем безопасности, позволяющей пресечь действия как внешних, так и внутренних злоумышленников. Сегодня подобная интеграция означает сочетание пяти основных технологий: брандмауэров, аутентификации, шифрования, цифровых подписей и хранения содержимого.


          Звучит вроде бы просто. Однако, как обнаружил Роузер, принявшись за работу, обеспечить безопасность сети не так легко. “Сначала мы решили проконсультироваться у поставщиков. В следующий раз я такой оплошности не допущу”,  -  рассказывает он. Как и следовало ожидать, поставщики стараются реализовать собственные решения.


          Вначале было неизвестно, в чем заключались слабые места системы безопасности Bechtel. “В любом проекте, связанном с информационными технологиями, прежде чем начинать искать решения, необходимо определить практические потребности”,  -  рекомендует Роузер.


          Это хороший совет. По мнению Майкла Зборэя, вице-президента фирмы Gartner Group, многие компании спотыкаются о самые первые препятствия на пути к сетевой безопасности.


          “Самое сложное  -  начать, т. е. определить, сколько ресурсов нужно выделить на обучение специалистов и приобретение необходимых продуктов,  -  считает Зборэй.  -  Люди обычно сидят вокруг стола и обмениваются мнениями, но никто не может толком сказать, сколько денег будет разумным потратить на безопасность”.


          В первую очередь необходимо оценить информацию компании в денежном исчислении, а затем решить, какую сумму выделить на обеспечение безопасности этих данных. Если такое решение не будет принято на административном уровне, менеджеру сети в конце концов придется давать объяснения начальникам, которые скажут, что стоимость информации была переоценена или, наоборот, недооценена.


          “Добейтесь четкого понимания вопроса владельцами акций, особенно  -  членами правления, на которых лежит ответственность за безопасность компании”,  -  советует Зборэй.


          Особое внимание этому следует уделить на предприятиях сферы производства и обслуживания, так как на них стоимость информации четко не определена. Руководителей финансовых организаций значительно проще убедить составить смету на системы безопасности, поскольку каждая крупица информации здесь имеет конкретную цену, и они, как правило, понимают, что малейший взлом сети и потеря доверия клиентов будут разорительными.


          Фирма Bechtel пригласила консультантов из Coopers & Lybrand, чтобы оценить в денежном выражении потенциальную угрозу безопасности, а также составить стратегию безопасности. C&L начала с опроса сотрудников Bechtel и внешних деловых партнеров компании, “чтобы найти слабые места системы”, как рассказал Роузер. Была составлена “программа действий, которые должна выполнить Bechtel, и сейчас производится анализ потенциальной угрозы и масштаба технического решения”.


          В индустрии ИС нет четкого определения того, сколько средств следует вкладывать в безопасность. Однако, как считает Зборэй, нет ничего необычного, когда компания тратит 10 - 15% стоимости информации на продукты, обеспечивающие безопасность.


          “Разумеется, у дорогостоящих проектов более высокая отдача,  -  продолжает он.  -  Брандмауэры стоят не очень дорого, но дают хорошую прибыль. Системы аутентификации стоят дороже, но дают меньший доход”.


          Кроме принятия решения о том, какую выделить сумму, компании необходимо составить правила сетевой безопасности. “Мы не можем отвечать за всю информацию или интеллектуальную собственность,  -  считает Роузер.  -  Ответственность лежит на пользователях. Наша работа заключается в создании правил безопасности”.


          Разрабатываемый план Bechtel по защите безопасности состоит из процедурного раздела, описывающего обязанности пользователей по поддержанию безопасности сети, и технического раздела.Технический раздел предназначен для решения нескольких текущих задач Bechtel, в том числе организации взаимодействия удаленных сетей и сети штаб-квартиры, работающих под управлением различных ОС, а также обеспечения безопасности этих подключений.


          Роузер предполагает, что в рекомендациях C&L, которые должны быть представлены в августе, вероятно, будет предложено использовать различные сочетания продуктов в зависимости от статуса подсети. Компания должна будет ввести смарт-карты для личной аутентификации в зонах повышенного риска, но не в коммерческих пунктах.


          Роузер будет доволен переходом к стадии реализации, как, впрочем, и тем обстоятельством, что Bechtel достигла безопасности, имея хорошую стратегию. “Мы правильно поступили, что прибегли к анализу для определения того, сколько средств стоит на это потратить”,  -  убежден он.


(PC Week Labs)

          Лоре Б. Смит, независимому журналисту из Суэмпскотта (шт. Массачусетс), можно писать по адресу: lauras@shore.net.


          Y:PROCESSPCWEEKREFINAL.ONL48NT4_20.__


Руководство покупателя аппаратные брандмауэры



 

          Компания

 

  

          Продукт

          Дата начала продажи, месяц/год

  

          Функции брандмауэра

  

          Платформа

  

          Поддерживаемые аппаратные интерфейсы

  

  

          Количество одновременных подключений

  

          Плата шифрования

 

          Включение URL

 

  

          Совместимость с H.323

 

          Служба удаленного доступа

 

          ACACS

  

  ADIUS

  

          Шифрование длz VPN

  

          Системный журнал

  

Цена; гарантия; бесплатная поддержка

Ascend Communication

 Аламеда, шт. Калифорния (800) 621-9578 www.ascend.com

          SecureAccess 2.0
     

  

 

          6/96

 

          Матричная проверка пакетов

  

 NT, платформы Ascend, Windows 95 (Pipeline, Max, Max TN

  

10BaseC, AU

  

     BaseC, AU

  

  
 

 *

  
 

  *

  *

  *

  *

  *

$500 - $20000     
   1 год;
90 дней

  

Bay Network
Санта-Клара, шт. Калифорния (800) 822-9638 www.baynetworks.com

Access Stack

Node 11.02

6/97  

          Матричная проверка пакетов, фильтрация прикладного уровня, Telnet, SNMP, встроенный модемный модуль стандарта V.34

  

Частная  

 10/100 Мбит/с Ethernet4 Serial (v.34, RS232, x.21)

  

Не ограничено

  

  
 

  
 

  
 

*  

  
 

*  

  
 

  *

$4000;
90 дней

 90 дней

Cisco System
Сан-Хосе, шт. Калифорния (800) 553-6387 www.cisco.com

  

Cisco PI
Firewall 4.1

  

8/97

Технология посредников, адаптивный алгоритм матричной проверки, сквозная проверка посредником, избирательное предоставление доступа к приложениям

Частная  

          10/100 Мбит/с адаптер Ethernet
          4/16 Мбит/с адаптер Token-Ring
     

  

 16384

 *

*  

 *

  *

  *

  
 

  *

*  

$9000;
 90 дней

 90 дней

Global Technologiy Associates

Орландо, шт. Флорида (800) 775-4482 www.gta.com

 

GNAT Box
 Firewall 2.0

 

8/97

 Гибридная система сочетает матричную проверку пакетов с функциями программных представителей

  

OC на
базе модифицированного ядра 4.4BSD (входит в
 комплект)

  

10/100 Мбит/с адаптер Ethernet
 FDDI, PPP (асинхронный модем),                PPP ISD

  

 16 384

  
 

*  

*  

 *

  
 

  
 

  
 

  *

$1235;
 90 дней
 90 дней  

On Technology          Кеймбридж, шт. Массачусетс (800) 548-8871 www.on.com.

  

  ON Guar          Firewall 2.0

 

8/97

Технология посредников, многоуровневая матричная проверка, фильтрация прикладного уровн

 Частная

 10/100 Мбит/с адаптер Ethernet

  

 Неограниченно

  
 

 *

  
 

  
 

  
 

  
 

  *

  
 

Базовая-
41495;
1 год;
неограниченная  

 Openroute Networks
 Уэстборо, шт. Массачусетс (800) 200-1094 www.openroute.com.

  

 GTSecure Firewall-60 1.0 (для последовательных ГВС), GTSecure-70 1.0 (для ISDN)

  

10/96

Фильтрация пакетов, матричная проверка пакетов, RADIUS, фильтрация сетевого и прикладного уровней

 

Частная  

10/100 Мбит/с адаптер Ethernet

  

 Неограниченно  

  
 

*  

  
 

 *

 *

 *

 *

  *

$1395;
пожизненная;
1 год

Trusted Information Systems Роквилл, шт. Мэриленд (800) 347-3925 www.tis.com.

  

Gauntlet Firewall Packaged
 System 4.

  

7/97

Технология посредников, фильтрация прикладного уровня

 

 Unix, NT

  

 

 10/100 Мбит/с адаптер Ethernet

4/16 Мбит/с адаптер Token-Ring

 300

       *  

*  


 

 *

  
 

  
 

*  

  *

 $11 500-23 500;
 1 год;
отсутствует

Данная таблица содержит только выборочные сведения. Вся информация предоставлена поставщиками. Таблица составлена Кристиной Кенни

Версия для печати